24 Nisan 2020 Cuma

Yeni Anahtarlar

Yeni GNUPG Anahtarları.

Yaklaşık olarak 7 yıl önce yazdığım ve uzun süredir ihmal ettiğim yazma işine geri dönmek için bir yerde nbaşlamak gerekiyordu. ilk olarak openPGP anahtar çiftlerimi yenileyerek işe başlıyorum.



OpenPGP anahatarları iki ikişi arasındaki ie-posta iletişimini güvenli kılmak için geliştirilmiş bir kriptografik yazılım uygulamasıdır. Daha önce EniXma yayınlarken üzerinde yazmak istediğim ana daha önce PcNET Türkiye dergisinde Kleopatra ve Kgpg üzerinde yazdığım yazı yazdığım için ertelediğim bir konu idi. OpenPGP anahtarlarımı süresi geldikçe yenileyerek kullanmaya devam ettim.

Önceki anahtarların yer aldığı sayfada anahtar parmak izleri ile anahatar ID yer alıyordu. Güncel halinde ise anahtarların ASC formatında çıktısını görebilirsiniz. Anhatarları doğrudan kopyalayarak anahtar dizisine dail ederek kullanabilir veya anhatar sunucularındaki kopyalarını indiriep diziye ekleyerek de kullanabilirsiniz.

Bu değişikliğin nednei geçtiğimiz yıl openpgp anahatr sunucularının hizmet vermsninin engellenmesine neden olan bir saldırı tekniğinin ortaya çıkartılmış olmasıdır.

Saldırının amacı anahatar suncuularının işlevsiz kılaınmasını sağlamak yönündedir. Bunun için en genel ve yaygın kullanım şekli olan gnupg yazılımın anahtarları edinme, güncelleme ve yükleme mekanizmasının işlemez hale getirilmesi yeterlidir. Gnupg yazılımında nahatarlar konut satırından sunucuya yüklenebilir, sunucuda aranabilir ve sunucudan indirilebilir. Saldırı bu özellikleri kullanmaktadır.

Doğrudan sunucuyu işlemez hale getiremeden istemci tarafında işleti dara boğaz sürüklemektedir. Bunun için Gnupg yapısında bulunan otomatik anahtar edinme mekanizması ilk kullanılan aşamadır. Gnupg yazılımı e-posta istemcisi ile tümleşik çalışmakta olduğundan çoğu kişiyin aldığı e-posta mesajlarındaki openpgp genel anahtarını sucudan otomatik olarak indirecek şekilde yapılandıırlmaktadır. Bir istemcideki anahtar sayısı arttıkça sunucudan indirilecek olan anahtar sayısı da artmaktadır. Bu sunucu ile istemci arasındaki veri haberleşmesinin uzaması anlamına gelir.

Ayrıca bir kişinin anahtarı bir başka kişinin anhtarı ile imzanabilir. Bu genel anahtarı imzalanan kişinin anahtarının diğer anhatrle ile güven zincirine dahil olmasını sağlarken aynı zamanda sunucudan bilgi edilnemsi gerekendiğer anahtarları da zincirin bir parçası olarak bigisinin edinilmesini gerektirir.

Bu güven zinciri mekanizmasını istemcinin anahtar güncelleme veya anahatr edinme süreci ile birleştirdiğinizde sunucular aşırı yüklenmekte, istemcilere yanıt veremez  duruma gelebilmektedir. Teknik olarak anahtar sunucusunun bant genişliğinin tükensmeis söz konusu olsa da sunucu üzerinde anahatar alma, gönderm mekanimzasının işleyişi üzerindeki yükü arttırmaktadır.

Ayrıca bir kişinin nahtarının bir diğer kişi tarafından imzalanmış olması dolaylı olarak anahtarı indiren kişi içinde güven zinciri içerisindeki tanımadığı bir kişiye ait olan anahtarı da aynı derecede güvenlir olarak algılamasına neden olmaktadır.

Saldırının tekjnik boyutu yanında sosyal mühendislik boyutunun da göz önüne alınması durumunda güvene dayalı olarak işleyen bir aracın yine güven dayalı olarak kırılmasına yönelik bir saldırı ile karşı karşıya kalındığı görülebilir.

Anhatr sunucularını kuran ve işleten kurumlar ve kişiler durumun ortaya çıkmasının ardından anahtarlardan sahta imzaların silinmesi için gereken işlemleri başlatırken GnuPG geliştirme ekibi de yeni önlemleri uygulamay koydu.

Bu önlemlerden bir tanesi GnuPG derlenirken web suncu desteğinin verilmesi oldu. Böylece bir e-posta sunucusu işleten veya kuran bir kurum veya kuruluş, adına kayıt olan alan adı ile ilişkili olarak bir OpenPGP anahtarlarını yükleyebilecekleri bir sunucu dizini kullanmaları teşvik edilmektedir. Bu yaşanan saldırının önüne geçeceği gibi anahtar suncusu kullanmak istemeyen ve genel anahtarını yayınlmak isteyen kullanıcıların işini kolaylaştıracaktır.

Yukarıda anlttığım saldırı tekniğinin tuzağına düşmemek için genel anahtarların asc kopyalarını ilgili sayfadan alabilir ve bana göndereceğiniz mesajların sadece benim tarafımdan okunmasını garanti edebilir, yazıdğınız yalanlayamaz ve iletişimin sadece ikimiz arasında gizli kalmasını sağlayabilirsiniz.

1 yorum: